Gli hacker colpiscono Microsoft Exchange Server
Buongiorno cari letto, oggi parleremo digli hacker colpiscono Microsoft Exchange Server
Microsoft afferma che gli hacker cinesi del gruppo Hafnium hanno intrapreso "attacchi limitati e mirati", in cui i suoi server Exchange Email sono stati violati per sottrarre dati utilizzando difetti di 0 giorni.
Nel suo recente post sul blog , Microsoft ha identificato che un gruppo di sofisticati hacker cinesi ha preso di mira il suo popolare servizio di posta elettronica chiamato Microsoft Exchange. Secondo il gigante della tecnologia, gli aggressori hanno sfruttato quattro vulnerabilità nel suo popolare servizio di posta elettronica che ha permesso loro di accedere ai suoi server e account di posta elettronica.
VEDERE: smascherata la campagna di hacking della CIA di 11 anni contro la Cina
Le vulnerabilità ora corrette consentono inoltre agli aggressori di installare malware aggiuntivo per "facilitare l'accesso a lungo termine agli ambienti delle vittime", ha osservato la società aggiungendo che la versione basata su cloud del servizio non è stata interessata.
Gli hacker hanno condotto "attacchi limitati e mirati", lavorando attraverso server privati virtuali. È stato possibile accedere al software dell'azienda tramite password rubate, dopodiché il gruppo ha installato malware per ottenere dati.
Chi sono gli obiettivi?
Nel post del blog, Tom Burt, Vicepresidente aziendale Microsoft per la sicurezza e la fiducia dei clienti, non ha specificato gli obiettivi, ma ha affermato che le aziende che utilizzano il software Exchange Server locale sono minacciate.
Burt afferma che non ci sono prove che i singoli consumatori siano stati presi di mira o che gli exploit abbiano influenzato altri prodotti Microsoft.
Inoltre, Burt ha confermato che i recenti attacchi ai suoi server Exchange non hanno alcun collegamento con gli attacchi di SolarWinds che hanno violato circa 9 agenzie governative statunitensi e quasi 100 aziende private.
Microsoft incolpa afnio per attacchi
Microsoft ritiene che un gruppo di hacker sponsorizzato dallo stato cinese chiamato Hafnium, che opera fuori dalla Cina, sia responsabile degli attacchi al servizio di posta elettronica di Exchange.
L'azienda non ha fornito prove a sostegno del coinvolgimento di Afnio, ma ha affermato che il suo Threat Intelligence Center si è concluso dopo aver osservato le "tattiche e procedure" del gruppo.
L'afnio è noto per il furto di dati da ricercatori statunitensi in malattie infettive, appaltatori della difesa, istituti di istruzione superiore, studi legali, organizzazioni non governative e gruppi di esperti politici.
"Questo blog continua anche la nostra missione di far luce sugli attori malintenzionati e aumentare la consapevolezza delle sofisticate tattiche e tecniche utilizzate per indirizzare i nostri clienti" , ha affermato il blog di Microsoft .
Microsoft rilascia patch per quattro vulnerabilità da 0 giorni
Microsoft chiede agli utenti di scaricare correzioni / patch per quattro vulnerabilità trovate in MS Exchange.
"Stiamo condividendo queste informazioni con i nostri clienti e la comunità della sicurezza per sottolineare la natura critica di queste vulnerabilità e l'importanza di applicare immediatamente patch a tutti i sistemi interessati", si legge nel post.
Le vulnerabilità sono state trovate in MS Exchange Server 2013, 2016 e 2019 e includono quanto segue:
1. CVE-2021-26855 è una vulnerabilità SSRF (server-side request forgery) che gli aggressori possono sfruttare per inviare richieste HTTP arbitrarie.
2. CVE-2021-26857 - Si tratta di una vulnerabilità di deserializzazione non sicura in cui un programma potrebbe deserializzare dati non attendibili controllabili dall'utente. Gli aggressori possono sfruttarlo per eseguire codice come SYSTEM sul server Exchange dopo aver acquisito l'autorizzazione di amministratore.
3. CVE-2021-26858 : questa vulnerabilità di scrittura arbitraria di file post-autenticazione potrebbe consentire a un utente malintenzionato di scrivere un file in qualsiasi percorso sul server se autenticato con il server Exchange.
4. CVE-2021-27065 - È un'altra vulnerabilità di scrittura arbitraria di file post-autenticazione che Hafnium potrebbe autenticare con il server Exchange compromettendo le credenziali di amministratore legittime o sfruttando la vulnerabilità SSRF CVE-2021-26855 e scrivendo un file in qualsiasi percorso su il server.
